基于免疫原理的動(dòng)態(tài)網(wǎng)絡(luò)入侵檢測(cè)模型的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，數(shù)據(jù)來(lái)源和數(shù)量的增加，網(wǎng)絡(luò)異常的行為變得越來(lái)越猖獗。傳統(tǒng)的網(wǎng)絡(luò)監(jiān)控方法已不能幫助網(wǎng)絡(luò)管理人員認(rèn)識(shí)網(wǎng)絡(luò)的狀態(tài)和趨勢(shì)，網(wǎng)絡(luò)態(tài)勢(shì)感知技術(shù)隨之被提出，用來(lái)綜合各個(gè)方面信息，提供高層次宏觀的網(wǎng)絡(luò)安全信息。其主要分析的數(shù)據(jù)來(lái)源包括主干網(wǎng)的Netflow流量信息，和受控局域網(wǎng)中入侵檢測(cè)系統(tǒng)的報(bào)警記錄。本文致力于解決局域網(wǎng)內(nèi)的入侵檢測(cè)，檢測(cè)的異常作為態(tài)勢(shì)感知的一個(gè)影響指標(biāo)提供高層分析。 網(wǎng)絡(luò)態(tài)勢(shì)感知在局域網(wǎng)一級(jí)，主要需要實(shí)時(shí)

2、的獲知異常的發(fā)生，并要求能夠檢測(cè)從未出現(xiàn)過(guò)的異常。目前多數(shù)的網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品采用簡(jiǎn)單模式匹配技術(shù)，只能檢測(cè)出已知的攻擊模式。而基于生物免疫的入侵檢測(cè)系統(tǒng)是通過(guò)模仿生物的免疫工作機(jī)制，使得受保護(hù)的系統(tǒng)能夠?qū)⒎亲晕业姆欠ㄐ袨榕c自我的合法行為區(qū)分開(kāi)來(lái)，識(shí)別從未出現(xiàn)過(guò)的異常，使受保護(hù)對(duì)象在不斷變化的環(huán)境中維持穩(wěn)定。 本文的主要工作如下：一是針對(duì)現(xiàn)有檢測(cè)器生成算法存在時(shí)間效率上的不足提出了一種新的檢測(cè)器生成算法：該算法分階段實(shí)現(xiàn)了檢測(cè)器的

3、更新機(jī)制，提高了檢測(cè)率，加快了檢測(cè)速度。二就是在Kim小組提出的動(dòng)態(tài)克隆選擇算法的基礎(chǔ)上進(jìn)行深入性的研究與分析，提出改進(jìn)的入侵檢測(cè)模型。針對(duì)網(wǎng)絡(luò)中大部分?jǐn)?shù)據(jù)為正常數(shù)據(jù)這一現(xiàn)象，該模型加入了自體模式集模塊，首先產(chǎn)生少量的自體模式集對(duì)正常數(shù)據(jù)進(jìn)行處理，只有與自體模式集偏離的數(shù)據(jù)才會(huì)進(jìn)行下一步檢測(cè)。這樣加快了模型的處理速度，精簡(jiǎn)了自體規(guī)模，提高了耐受速度，降低了誤檢率；同時(shí)，本文還著重研究了基于’TCP/UDP連接的特征提取，論述了檢測(cè)器表現(xiàn)